数据包分析技术

ABOUT THIS

数据包嗅探或协议分析

了解网络特征

查看网络上的通信主体

确认谁或是哪些应用在占用网络带宽

识别网络使用的高峰时间

识别可能的攻击或恶意活动

寻找不安全以及滥用网络资源的应用

工作原理

收集,选定的网卡设置成混杂模式来完成抓包。可以抓取一个网段上所有的网络通信流量,而不仅是发往它的数据包

转换,将捕获的二进制数据转换成可读形式。高级嗅探器就支持到这一步骤,分析工作留给最终用户

分析,数据包嗅探器以捕捉的网络数据作为输入,识别和验证他们的协议,然后,开始分析每个协议的特定属性

关注数据包的几个点:

协商连接参数:通信需要加密吗?加密密钥如何在通信双方进行传输?

数据格式:通信数据在数据包中如何排列?数据达到接收设备以什么顺序进行处理

错误检验与校正:当数据包花了太长的时间时间才到达目的地时如何处理?当客户端暂时无法和服务器建立通信时,该如何恢复连接?

连接终止:一台主机如何告知另一台主机通信已经结束?为了礼貌地终止通信,应该传送什么样的最终信息?

发起连接:是客户端还是服务器发起的连接?真正通信时需要交换哪些信息?

流量分类

广播流量(2层流量广播:MAC地址FF:FF:FF:FF:FF:FF和3层流量广播:最大IP地址被保留作为广播地址使用)

多播流量(224.0.0.0-239.255.255.255)

单播流量

监听网络线路

混杂模式:允许网卡能够查看到所有流经网络线路数据包的驱动模式

其他设备的网卡驱动会识别这个数据包对它们来说没有任何用处,于是选择将数据包丢弃,而不是传递给CPU进行处理。(分层处理,提高网络效率)

但是混杂模式下,网卡将每一个它所看到的数据包都传递给主机的处理器,即数据包一旦经过CPU就可以被数据嗅探软件捕捉并进行分析

嗅探器安置在网络的位置?

在集线器连接的网络中进行嗅探(淘汰)

在交换式网络中进行嗅探(但只可以嗅探本网段的数据)

嗅探的4种方法:端口镜像,集线器接入(hubbing out),使用网络分流器(聚合型和非聚合型:有四根网线),ARP欺骗攻击

在路由网络环境中进行嗅探

在交换网络的所有嗅探技术都对路由网络适用,在处理涉及多个网段与路由器的问题时,你可能需要将你的嗅探器移动到不同的位置上,才能获得一个完整的网络画图

嗅探器监听逻辑:

监听网络线路

if(交换机支持镜像端口=true){

使用镜像端口

}else if(客户机可以临时下线==true){

if(能访问一个网络分流器){

使用网络分流器

}else

{

集线器输出

}

}else{

使用ARP缓存中毒

}

MultiD

公众号ID:Multi_D

关注

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180309G1DTWR00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

同媒体快讯

扫码关注腾讯云开发者

领取腾讯云代金券